Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
UNIVERZA V MARIBORU
FAKULTETA ZA ELEKTROTEHNIKO,
RAČUNALNIŠTVO IN INFORMATIKO
Aljaž Cokan
PROTOKOL IEEE 802.1x ZA NADZOR DOSTOPA V LOKALNEM OMREŽJU
Diplomsko delo
Maribor, december 2015
1
PROTOKOL IEEE 802.1x ZA NADZOR DOSTOPA V
LOKALNEM OMREŽJU
Diplomsko delo
Študent: Aljaž Cokan
Študijski program: VS ŠP Elektrotehnika
Smer: Telekomunikacije
Mentor: izr. prof. dr. Andrej Žgank
Somentor: doc. dr. Janez Stergar
Lektor(ica): Ana Marija Skelo
2
Smetanova ulica 17
2000 Maribor, Slovenija
Številka: E1010273
Datum in kraj: 19.11.2015, Maribor
Na osnovi 330. člena Statuta Univerze v Mariboru (Ur. l. RS, št. 44/2015)
SKLEP O DIPLOMSKEM DELU
1. Aljaž Cokan, študentu visokošolskega strokovnega študijskega programa ELEKTROTEHNIKA, smer Telekomunikacije, se dovoljuje izdelati diplomsko delo.
2. MENTOR: izr. prof.dr. Andrej Žgank
SOMENTOR: doc. dr. Janez Stergar, Agencija za energetiko
3. Naslov diplomskega dela:
PROTOKOL IEEE 802.1x ZA NADZOR DOSTOPA V LOKALNEM OMREŽJU
4. Naslov diplomskega dela v angleškem jeziku:
LOCAL AREA NETWORK ACCESS CONTROL WITH THE IEEE 802.1x
PROTOCOL
5. Diplomsko delo je treba potrebno izdelati skladno z “Navodili za izdelavo diplomskega dela” in ga oddati v treh izvodih (dva trdo vezana izvoda in en v spiralo vezan izvod) ter en izvod elektronske verzije do 30.09.2015 v referatu za študentske zadeve.
Pravni pouk: Zoper ta sklep je možna pritožba na senat članice v roku 3 delovnih dni.
Dekan: Red. Prof. Dr. Borut Žalik
Obvestiti:
kandidatko,
mentorja,
somentorja,
odložiti v arhiv.
3
Protokol IEEE 802.1x za nadzor dostopa v lokalnem omrežju
Ključne besede: IEEE 802.1x, RADIUS, varnost, overjanje, lokalno omrežje
UDK: 621.395.741(043.2)
Povzetek
Namen diplomskega dela je demonstrirati koncept dodatnega varovanja omrežja podjetja
z uporabo protokola IEEE 802.1x. Diplomsko delo opisuje postavitev strežnika, z
aktiviranim NAP DHCP in NAP 802.1x skupaj s stikalom in odjemalcem. Na strežniku je
nameščen operacijski sistem Windows 2008r2, za stikalo je uporabljen Cisco Catalyst
2950, ter računalnik oz. mobilni telefon kot odjemalec. Cilj uporabe mobilne naprave je bil
spoznati podporne funkcije strežnika RADIUS, delovanje skupinske politike, komunikacija
med napravami in zaščita omrežja. Osnovni sistem se lahko nadgradi, ker je protokol
802.1x zelo obširen. Osnovni sistem, ki smo ga postavili, je primeren za manjša podjetja
ali spoznavanju protokola IEEE 802.1x.
4
Local Area Network access control with the IEEE 802.1x protocol
Key words: IEEE 802.1x, RADIUS, security, authentication, local area network
UDK: 621.395.741(043.2)
Abstract
The purpose of the study is to demonstrate the concept of a supplementary protection of
the corporate network using the IEEE 802.1x protocol. The thesis describes a server with
an activated DHCP NAP and NAC 802.1x along with the switch and the mobile client. The
server is running Windows 2008R2, for the switch a Cisco Catalyst 2950 was used with a
computer or mobile phone as a client. The objective of the use of mobile devices was to
meet supporting functions of the RADIUS server, the operation of group policy,
communication between devices and network protection. The basic system can be
upgraded, because the 802.1x protocol is very extensive. The base system that was
described in the paper is suitable for small businesses or as an introduction study of the
IEEE 802.1x protocol.
5
Smetanova ulica 17
2000 Maribor, Slovenija
I Z J A V A O A V T O R S T V U
Spodaj podpisani/-a
ALJAŽ COKAN
z vpisno številko
E1010273
sem avtor/-ica diplomskega dela z naslovom:
PROTOKOL IEEE 802.1x ZA NADZOR
DOSTOPA V LOKALNEM OMREŽJU
(naslov diplomskega dela)
S svojim podpisom zagotavljam, da:
sem diplomsko delo izdelal/-a samostojno pod mentorstvom (naziv, ime in priimek)
izr. prof. dr. Andrej Žgank
in somentorstvom (naziv, ime in priimek)
doc. dr. Janez Stergar
so elektronska oblika diplomskega dela, naslov (slov., angl.), povzetek (slov., angl.) ter ključne
besede (slov., angl.) identični s tiskano obliko diplomskega dela.
soglašam z javno objavo elektronske oblike diplomskega dela v DKUM.
V Mariboru, dne
Podpis avtorja/-ice:
6
Smetanova ulica 17
2000 Maribor, Slovenija
IZJAVA O USTREZNOSTI ZAKLJUČNEGA DELA
Podpisani mentor :
izr. prof. dr. Andrej Žgank
(ime in priimek mentorja)
in somentor (eden ali več, če obstajata):
doc. dr. Janez Stergar
(ime in priimek somentorja)
Izjavljam (-va), da je študent
Ime in priimek: Aljaž Cokan
Vpisna številka:E1010273
Na programu:VS ŠP Elektrotehnika
izdelal zaključno delo z naslovom:
Protokol IEEE 802.1x za nadzor dostopa v lokalnem omrežju
(naslov zaključnega dela v slovenskem in angleškem jeziku)
Local area network access control with the IEEE 802.1x protocol
v skladu z odobreno temo zaključnega dela, Navodilih o pripravi zaključnih del in mojimi (najinimi oziroma
našimi) navodili.
Preveril (-a, -i) in pregledal (-a, -i) sem (sva, smo) poročilo o plagiatorstvu.
Datum in kraj: Podpis mentorja:
Datum in kraj: Podpis somentorja (če obstaja):
Priloga:
- Poročilo o preverjanju podobnosti z drugimi deli.«
7
Smetanova ulica 17
2000 Maribor, Slovenija
IZJAVA O ISTOVETNOSTI TISKANE IN ELEKTRONSKE VERZIJE ZAKLJUČNEGA DELA IN
OBJAVI OSEBNIH PODATKOV DIPLOMANTOV
Ime in priimek avtorja-ice:
ALJAŽ COKAN
Vpisna številka:
E1010273
Študijski program:
VS ŠP ELEKTROTEHNIKA
Naslov zaključnega dela:
PROTOKOL IEEE 802.1x ZA NADZOR DOSTOPA V LOKALNEM
OMREŽJU
Mentor:
izr. prof. dr. Andrej Žgank
Somentor:
doc. dr. Janez Stergar
Podpisani-a ALJAŽ COKAN izjavljam, da sem za potrebe arhiviranja oddal
elektronsko verzijo zaključnega dela v Digitalno knjižnico Univerze v Mariboru. Zaključno delo sem izdelal-
a sam-a ob pomoči mentorja. V skladu s 1. odstavkom 21. člena Zakona o avtorskih in sorodnih pravicah
dovoljujem, da se zgoraj navedeno zaključno delo objavi na portalu Digitalne knjižnice Univerze v Mariboru.
Tiskana verzija zaključnega dela je istovetna z elektronsko verzijo elektronski verziji, ki sem jo oddal za
objavo v Digitalno knjižnico Univerze v Mariboru.
Zaključno delo zaradi zagotavljanja konkurenčne prednosti, varstva industrijske lastnine ali tajnosti podatkov
naročnika: ne sme biti javno
dostopno do (datum odloga
javne objave ne sme biti daljši kot 3 leta od zagovora dela).
Podpisani izjavljam, da dovoljujem objavo osebnih podatkov, vezanih na zaključek študija (ime, priimek,
leto in kraj rojstva, datum zaključka študija, naslov zaključnega dela), na spletnih straneh in v publikacijah
UM.
Datum in kraj: Podpis avtorja-ice:
Podpis mentorja:
(samo v primeru, če delo ne sme biti javno dostopno)
Podpis odgovorne osebe naročnika in žig:
(samo v primeru, če delo ne sme biti javno dostopno)
8
ZAHVALA
Zahvaljujem se mentorju izr. prof. dr.
Andreju Žganku, somentorju doc. dr. Janezu
Stergarju in mentorju v podjetju Stebri d.o.o.,
Petru Mlekušu, dipl. inž. el., za pomoč in
vodenje pri opravljanju diplomskega dela.
Prav tako se podjetju Stebri d.o.o.
zahvaljujem za vse nasvete in opremo ter
seveda staršem in še posebej Moniki za
podporo in vztrajnost.
9
VSEBINA:
1 UVOD ....................................................................................................................................... 1
1.1 UVOD V VAROVANJE LAN ............................................................................................................... 1
1.2 UVOD V USMERJEVALNE PROTOKOLE ............................................................................................ 3
1.2.1 Protokoli na osnovi vektorja razdalje ............................................................................................... 3
1.2.2 Protokoli, ki temeljijo na stanju povezav ......................................................................................... 4
2 PROTOKOL IEEE 802.1X .................................................................................................... 6
2.1 Prednosti in slabosti protokola IEEE 802.1x. .................................................................................. 7
2.2 Pregled funkcionalnosti protokola ................................................................................................. 8
2.3 Vzpostavitev seje AAA .................................................................................................................... 9
2.3.1 Overjanje .......................................................................................................................................... 9
2.3.2 Dovoljenje ........................................................................................................................................ 9
2.3.3 Beleženje ........................................................................................................................................ 10
2.4 Protokoli EAP, EAPoL, RADIUS, PEAP ............................................................................................ 10
2.4.1 Protokol EAP .................................................................................................................................. 10
2.4.2 EAP-TLS .......................................................................................................................................... 11
2.4.3 PEAP – MSCHAPv2 ......................................................................................................................... 12
2.4.4 PEAP-MD5-Challenge ..................................................................................................................... 15
2.4.5 Protokol EAPoL ............................................................................................................................... 15
2.4.6 Protokol RADIUS ............................................................................................................................ 15
2.5 Dovolitvene opcije protokola IEEE 802.1x .................................................................................... 18
3 DOBRA PRAKSA NAČRTOVANJA ........................................................................... 19
3.1 Scenarij implementacije ............................................................................................................... 19
3.2 Overjanje uporabnikov in naprav ................................................................................................. 19
3.3 Izbira prosilcev ............................................................................................................................. 19
3.4 Izbira overitvenega strežnika........................................................................................................ 19
10
3.5 Ponovna overitev ......................................................................................................................... 20
3.6 Odprti dostop ............................................................................................................................... 20
3.7 WoL in protokol IEEE 802.1X ........................................................................................................ 20
3.8 Končni prosilci z nepodprtim standardnim protokolom IEEE 802.1x ............................................. 21
3.9 Končne točke z neustreznimi poverilnicami .................................................................................. 21
3.10 Nedosegljiv overitveni strežnik .................................................................................................... 21
3.11 Časovniki in spremenljivke ........................................................................................................... 22
3.12 IP telefonija in protokol IEEE 802.1x ............................................................................................. 22
3.13 Varnostne funkcije na stikalih ...................................................................................................... 23
3.14 Microsoft NAP .............................................................................................................................. 24
4 PRAKTIČNA IMPLEMENTACIJA ............................................................................... 25
5 CISCO PACKET TRACER ............................................................................................. 44
5.1 Nastavitve strežnika ..................................................................................................................... 45
5.2 Nastavitve usmerjevalnika ........................................................................................................... 47
5.3 Nastavitve stikala ......................................................................................................................... 50
5.4 Nastavitve računalnikov in telefona ............................................................................................. 54
6 SKLEP .................................................................................................................................. 60
7 VIRI ........................................................................................................................................ 62
8 PRILOGE ............................................................................................................................... 63
8.1 Seznam slik .......................................................................................... Error! Bookmark not defined.
8.2 Seznam preglednic .............................................................................. Error! Bookmark not defined.
11
8.3 Naslov študenta ........................................................................................................................... 63
8.4 Kratek življenjepis ............................................................................... Error! Bookmark not defined.
KAZALO SLIK:
SLIKA 1: PRIMER KONFIGURACIJE VLAN1,2,3 IN 4. ...................................................................................................... 3
SLIKA 2: DELOVANJE PROTOKOLA, KI TEMELJI NA VEKTORJU RAZDALJE. .............................................................................. 4
SLIKA 3: PROTOKOLI, KI TEMELJIJO NA STANJU POVEZAVE. .............................................................................................. 5
SLIKA 4: PRIMER UPORABE PROTOKOLA IEEE 802.1X V OMREŽJU. .................................................................................. 7
SLIKA 5:VZPOSTAVITEV SEJE AAA. ............................................................................................................................. 9
SLIKA 6: EAP-TLS (VIR: IEEE 802.1X CISCO IMPLEMENTAITON GUIDE). ........................................................................ 12
SLIKA 7: PEAP-MSCHAPV2 ................................................................................................................................. 13
SLIKA 8: POSTOPEK PODPISOVANJA. ........................................................................................................................ 14
SLIKA 9: ZGRADBA PAKETA RADIUS (VIR: WIKIPEDIA). ............................................................................................... 16
SLIKA 10: FORMAT AV PARA (VIR: WIKIPEDIA). ......................................................................................................... 16
SLIKA 11: NAP METODE ........................................................................................................................................ 24
SLIKA 12: ZASNOVA OMREŽJA, UPORABLJENEGA PRI PRAKTIČNI IMPLEMENTACIJI............................................................... 25
SLIKA 14: NASTAVITEV IMENA, VLOG IN NASLOVA IP STREŽNIKA. ................................................................................... 26
SLIKA 15: DODAJANJE UPORABNIKA. ........................................................................................................................ 27
SLIKA 16: KONFIGURACIJA SKUPINSKE POLITIKE. .......................................................................................... 28
SLIKA 17: NAMESTITEV NAP DHCP-JA ......................................................................................................... 29
SLIKA 18: NASTAVITEV STIKALA KOT RADIUS ODJEMALCA NA STREŽNIKU. ................................................... 30
SLIKA 19: NASTAVITEV DODELJEVANJA NASLOVOV IP IN DOMEN. ................................................................. 30
SLIKA 20: UPRAVLJANJE S POLITIKO (V TEM PRIMERU AKTIVIRANJE AGENTA NAP). .................................... 31
SLIKA 21: POSTAVITEV RAČUNALNIKA V DOMENO. ......................................................................................... 32
SLIKA 22: NASTAVITEV SAMODEJNE PRIDOBITVE NASLOVOV IP IN DNS-JA. ................................................ 32
SLIKA 23: PRIKAZ V UKAZNEM POZIVU, DA STA NAP DHCP VSILJEVANJE IN GP AKTIVNA. ......................... 33
SLIKA 24: DELOVANJE NAP NA RAČUNALNIKU. ............................................................................................. 33
SLIKA 25: PRIKAZ DELOVANJA DOMENE. ........................................................................................................ 34
SLIKA 26: WIRESHARK - PRIKAZ DELOVANJA PROTOKOLA RADIUS............................................................. 35
SLIKA 27: PREGLED AV PAROV V PROGRAMSKI OPREMI WIRESHARK .......................................................... 36
SLIKA 28: NASTAVITEV VSILJEVANJA NAP IEEE 802.1X. ............................................................................. 37
12
SLIKA 29: NASTAVITEV PROMETA ZA NEOMEJEN/OMEJEN DOSTOP. .............................................................. 37
SLIKA 30: NASTAVITVE POŽARNEGA ZIDU....................................................................................................... 38
SLIKA 31:PROGRAMSKA OPREMA PUTTY. .................................................................................................... 39
SLIKA 32: STIKALO V VLOGI OVERITELJA. ....................................................................................................... 41
SLIKA 33: PRIKAZ, KAKO OMOGOČITI ZAHTEVEK ZA OVERITEV ...................................................................... 42
SLIKA 34: WIRESHARK PRIKAZ DELOVANJA PROTOKOLA RADIUS ............................................................... 43
SLIKA 35: PRIKAZ SCENARIJA. ........................................................................................................................ 44
SLIKA 36: OMREŽNE NASTAVITVE STREŽNIKA. ............................................................................................... 45
SLIKA 37: KONFIGURIRANJE DHCP. .............................................................................................................. 46
SLIKA 38: AAA STORITEV. .............................................................................................................................. 47
SLIKA 39: OSNOVNA NASTAVITEV USMERJEVALNIKA. .................................................................................... 48
SLIKA 40: KONFIGURACIJA BREZŽIČNEGA OMREŽJA. ..................................................................................... 49
SLIKA 41: USTVARJANJE KOMUNIKACIJE MED STREŽNIKOM IN USMERJEVALNIKOM. ..................................... 50
SLIKA 42: NASTAVITVE STIKALA. ..................................................................................................................... 52
SLIKA 43: CLI VMESNIK ZA VNOS NASTAVITEV STIKALA. ................................................................................ 53
SLIKA 44: PC3 NE DOBI NASLOVA IP. ............................................................................................................. 54
SLIKA 45: VNOS BREZŽIČNEGA MODULA. SLIKA 46: NASTAVITEV BREZŽIČNE POVEZAVE NA PRENOSNEM
RAČUNALNIKOV. ...................................................................................................................................... 55
SLIKA 47: NASTAVITEV BREZŽIČNE POVEZAVE NA PAMETNEM TELEFONU. .................................................... 55
SLIKA 48: OSNOVNI MENI. SLIKA 49: VSA BREZŽIČNA OMREŽJA. ........................................................... 56
SLIKA 50: ČE ŽELIMO VZPOSTAVITI POVEZAVO NAM JAVI OPOZORILO, DA MORAMO NAJPREJ USTVARITI
PROFIL. ................................................................................................................................................... 56
SLIKA 51: USTVARJANJE UPORABNIKA. SLIKA 52: IZBIRA OMREŽJA. ....................................................... 57
SLIKA 53: IZBIRA BREZŽIČNE POVEZAVE SLIKA 54: NASTAVITVE OMREŽJA. ........................................... 57
SLIKA 55: IZBIRA OVERITVE. ........................................................................................................................... 58
SLIKA 56: PREGLED NASTAVITEV. SLIKA 57: PREGLED PROFILA. ........................................................... 58
SLIKA 58: USPEŠNA VZPOSTAVITEV BREZŽIČNE POVEZAVE. ......................................................................... 59
KAZALO TABEL:
TABELA 1: FORMAT SPOROČILA EAP. ............................................................................................................ 10
TABELA 2: SEZNAM POGOSTIH RADIUS KOD ................................................................................................ 17
TABELA 3: AV PARI ......................................................................................................................................... 17
13
SEZNAM UPORABLJENIH KRATIC IN SIMBOLOV
AAA Authentication, Authorization and Accounting (overitev, avtorizacija in
obračunavanje)
Access point Dostopovna točka
AD Active Directory (aktivni imenik)
AES Advance Encryption Standard (standard naprednega šifriranja)
ARP Address Resolution Protocol (protokol za prevedbo naslovov)
CLI Command Line Interface (ukazna vrstica)
DES Data Encryption Standard (standard podatkovnega šifriranja)
DSL Digital Subscriber Line (digitalna naročniška linija)
EAP Extensible Authentication Protocol (razširljivi overitveni protokol)
EAP-MD5 EAP-Message Digest 5 (EAP-s šifriranjem MD5 )
EAP-MSCHAPv2 EAP-Microsoft Challenge Handshake Authentication Protocol version
2 (razširljiv overitveni protokol - Microsoftov overitveni protokol z
izzvanim rokovanjem različica 2)
EAP-TLS EAP-Transport Layer Security (overitveni protokol z varovanjem
transportnega sloja)
EAPoL EAP over LAN (EAP v omrežju LAN)
IPsec Internet Protocol Security (varnostni omrežni protokol)
LAN Local Area Network (lokalno računalniško omrežje)
LEAP Lightweight Extensible Authentication Protocol (enostaven razširljiv
overitveni protokol)
MDA Multi-Domain Authentication (večdomenska overitev)
NAC Network Admission Control (krmiljenje dostopa do omrežja)
NAP Network Access Protection (zaščita omrežnega dostopa)
NAS Network Access Server (strežnik omrežnega dostopa)
OSPF Open Shortest Path First (protokol na osnovi najkrajše povezave)
PAE Port Access Entity (dostopovna entiteta)
PKI Public Key Infrastructure (infrastruktura javnih ključev)
PPP Point to Point Protocol (protokol od točke do točke)
RADIUS Remote Authentication Dial-In User Service (uporabniška storitev z
oddaljeno overitvijo)
RFC Request for Comments (zahtevek za pripombe)
14
TKIP Temporal Key Integrity Protocol (protokol neokrnjenosti začasnega
ključa)
UDP User Datagram Protocol (uporabniški podatkovni protokol)
VLAN Virtual LAN (navidezni LAN)
VPN Virtual Private Network (navidezno zasebno omrežje)
WAN Wide Area Network (prostrano računalniško omrežje)
WoL Wake–on-Lan (protokol za vklop oz. izklop naprav preko omre
1
1 UVOD
Živimo v času, ko je zloraba podatkov in neupravičen dostop v tuja omrežja vse
pogostejši. Zato se v podjetjih uporabljajo različni protokoli za varovanje dostopa.
Diplomsko delo se ukvarja z varnostjo lokalnega omrežja s podporo protokola IEEE
802.1x. To pomeni, da omogočimo uporabniku oziroma določeni napravi dostop do
omrežja in njegovo uporabo le pri izpolnjenih pogojih (ima dovoljenje in je ustrezno
varnostno preverjen).
Cilj diplomskega dela se je spoznati z osnovami omreževanja − kako deluje, kakšno je
delovanje omrežja v podjetjih, zakaj se uporabljajo različni VLAN-i in s kakšnimi protokoli
se soočamo, s stikali − uporaba stikal v omrežjih in konfiguracija, s strežniki Windows
Server 2008r2 − kaj je strežnik, kakšne so funkcije strežnika, zakaj se uporablja in
obravnava protokola IEEE 802.1x − kakšno je njegovo delovanje, kje in zakaj se lahko
uporablja, njegove notranje mehanizme in implementacijo storitev na fizičnem nivoju ter
ustvarjanje osnovnega principa z možnostjo nadgradnje.
V nadaljevanju bomo opisali, kaj so VLAN-i, protokol RADIUS, metode overjanja, protokol
IEEE 802.1x ter zakaj se le-ti uporabljajo. Diplomsko delo najprej predstavi LAN-e, ki so
osnova interneta, s katerimi lažje upravljamo omrežja in nastavitve znotraj podomrežij za
prosilce (VLAN-i). Sledi jedro diplomskega dela, protokol IEEE 802.1x. To je kompleksen
protokol, ki se pogosto uporablja v podjetjih, saj izboljša varnost omrežja. Za
demonstracijo delovanja tega protokola potrebujemo strežnik, stikalo in odjemalca
(računalnik). Osnovna konfiguracija je opisana pod rubriko implementacija scenarija. Prav
tako je dodano podpoglavje s programsko opremo za pregledovanje prometa WireShark
in programsko opremo za virtualno predstavitev scenarija in nastavitve naprav in omrežja.
1.1 UVOD V VAROVANJE LAN-a
LAN je kratica za lokalno računalniško omrežje. Je osnovno zasebno omrežje
posameznih računalniških naprav, priklopljenih nanj (doma, v podjetjih …). Več lokalnih
2
omrežij potem povezujejo prostrana računalniška omrežja − WAN. Ta imajo vse lastnosti
LAN-a, vendar pokrivajo širše geografsko območje (velika mesta, države …).
VLAN-i so logične, torej navidezne razširitve domene, ki jih uporabljamo v fizičnih LAN
omrežjih. Z VLAN-i dosežemo logično topologijo omrežja, ki omogoča združevanje
prosilcev glede na njihovo vlogo. VLAN-i so nastali, da bi segmentirali odjemalce v
navidezno ločene LAN-e. Uporabniki se ne segmentirajo fizično, ampak logično, s
konfiguracijo na stikalih. Naj gre tukaj za uporabo različnih aplikacij in storitev, omejevanje
prosilcev zaradi kršenja pravil v omrežnem sistemu ali zgolj za lažjo razporeditev
prosilcev, ne glede na fizično lokacijo v omrežju. Gostitelji ne ločijo med LAN-i in VLAN-i,
zato za to poskrbi protokol za označevanje podatkovnega prometa odjemalcev na stikalih,
ki označuje vsak oddan okvir odjemalca.
Dodatna prednost VLAN-ov je izolacija razpršenega prometa v t. i. logične razpršilne
domene, kar ima za posledico razbremenitev vmesnikov na stikalu. Stikala logično
ločujejo naprave s pomočjo programske opreme oz. implementiranimi namenskimi
protokoli, s katerimi označujejo okvire odjemalcev za vsaka vrata na stikalu oz. vsak
posamezni VLAN. Obstajajo tudi drugi protokoli za označevanje okvirov, ki pa so vezani
na proizvajalca omrežne opreme.
Primer uporabe podomrežij in navideznih omrežij kaže, kako pripraviti konfiguracijo, če
imamo en naslovni prostor IP, ki je na primer 192.168.123.0/24 (število 24 je maska
podomrežja 255.255.255.0). Prvi in zadnji naslov sta ID podomrežja (192.168.123.0) in
naslov za razpršeno oddajanje (192.168.123.255), tako da imamo na razpolago naslove
od 192.168.123.1 do 192.168.123.254. Omrežje smo razčlenili v štiri podomrežja z
ločenimi naslovnimi prostori:
VLAN1 je dodeljen naslovni prostor od 192.168.123.1 do 192.168.123.62;
VLAN2 od 192.168.123.65 do 192.168.123.126;
VLAN3 od 192.168.123.129 do 192.168.123.190 in
VLAN4 so dodeljeni IP naslovi od 192.168.123.193 do 192.168.123.254.
Ker smo razdelili naslovni prostor na četrtine, se je spremenila tudi maska podomrežja, in
sicer na 192.168.123.0/26 (255.255.255.192). Slika 1 nazorno pokaže VLAN1, 2, 3 in 4 z
danimi naslovi IP.
3
Slika 1: Primer konfiguracije VLAN1, 2, 3 in 4.
1.2 UVOD V USMERJEVALNE PROTOKOLE
Usmerjevalni protokoli so protokoli, s katerimi usmerjevalniki komunicirajo med seboj in
omogočajo posredovanje informacij, s katerimi omogočajo izbiro optimalne poti do
naslednjega usmerjevalnika. Temu pravimo usmerjevalne tabele. Protokoli delijo to
informacijo s sosednjimi usmerjevalniki, nato pa v celotno omrežje in tako dobijo znanje o
topologiji omrežja, v katerem se nahajajo.
Poznamo dve skupini usmerjevalnih protokolov, ki uporabljata paketno komutacijo.
Protokoli, ki temeljijo na vektorju razdalje.
Protokoli, ki temeljijo na stanju povezav.
1.2.1 Protokoli na osnovi vektorja razdalje
Takšen protokol uporablja Bellman-Fordov algoritem, Ford-Fulkersonov algoritem ali
DUAL FSM za izračun poti. Ta protokol za metriko uporablja število skokov v omrežju ne
glede na hitrost omrežnih povezav (slika 2). Protokol mora obvestiti svoje sosednje
usmerjevalnike, kar se dogaja periodično.
4
Slika 2: Delovanje protokola, ki temelji na vektorju razdalje.
Slika prikazuje dve poti A in B. Protokoli, ki temeljijo na vektorju razdalje, bodo izbrali pot
A, saj ima samo en skok do druge postaje, čeprav je ta omrežna povezava počasnejša
kot pot po poti B.
1.2.2 Protokoli, ki temeljijo na stanju povezav
Protokoli, ki temeljijo na stanju povezav, vključujejo OSPF (protokol na osnovi najkrajše
povezave), IS-IS (protokol vmesnih sistemov) ali BGP (protokol mejnih usmerjevalnikov).
Osnovni koncept je ta, da vsako vozlišče zgradi zemljevid povezljivosti z omrežjem v obliki
grafa, ki prikazuje ostala vozlišča. Vsa vozlišča neodvisno izračunavajo najboljšo pot do
drugega. Vsa ta končna zbirka najboljših poti se pretvori v usmerjevalno tabelo.
Osnovne lastnosti usmerjevalnih algoritmov, ki temeljijo na stanju povezav so:
1. oglaševanje stanja povezav s paketi LSA (ang. Link State Advertisments) − paketi
z informacijo o usmerjanju, ki se pošiljajo med usmerjevalniki;
2. topološka datoteka − zbirka informacij o omrežju, pridobljena iz LSA paketov
(seznam vseh poti v omrežju);
3. algoritem SPF − izračun omrežnih poti, zavedenih v topološki datoteki pri
oblikovanju drevesa usmerjanja za vsak usmerjevalnik ločeno; vsak
usmerjevalnik je na vrhu svojega drevesa SPF;
4. usmerjevalna tabela − seznam najboljših omrežnih povezav; izbor iz seznama
vseh poti po kriteriju izbranih parametrov za izračun metrike − pasovna širina,
zakasnitve, zanesljivost, stroški povezave ...[4].
5
Slika 3: Protokoli, ki temeljijo na stanju povezave.
Slika 3 prikazuje dve poti, A in B. Protokoli, ki temeljijo na stanju povezav, bodo izbrali
najboljšo pot glede na metriko. Izbrana bo pot B, saj ima boljšo omrežno povezavo,
čeprav bodo paketi potrebovali 3 skoke (aktivna vozlišča) do ciljne postaje.
6
2 PROTOKOL IEEE 802.1X
Protokol IEEE 802.1x je protokol druge plasti OSI referenčnega modela (povezovalna
plast). Omogoča nadzorovan dostop do omrežja, zasnovan na ravni vrat, ter filtriranje
MAC naslovov na stikalih oz. usmerjevalnikih. Sam protokol ne zagotavlja overitev
uporabnikov in naprav, zato se to izvaja s protokolom EAP. Protokol IEEE 802.1x poskrbi
za prenos EAP overitvenih sporočil med odjemalcem in overiteljem v omrežjih 7.
Slika 4 prikazuje primer uporabe protokola IEEE 802.1x. Opisi posameznih pojmov so
navedeni v nadaljevanju.
Dostopovna entiteta (PAE)
Dostopovna entiteta omogoča nadzor nad vrati na stikalih. Podpira funkcionalnosti
overitelja, prosilca ali oboje hkrati. Dovoljuje ali prepričuje vhodni in izhodni omrežni
promet iz izbranih nadzorovanih vratih.
Overitelj (Autheticator)
Overitelja predstavljajo LAN vrata, preko katerih le-ta vsiljuje predhodno overjanje
uporabnikom in napravam. V našem primeru bo to stikalo, ki bo uporabnikom oz.
napravam za dostop do omrežnih podatkov preko svojih vrat vsiljevalo predhodno
overjanje. Overitelj je lahko tudi v brezžičnem omrežju, in sicer kot dostopovna točka.
Prosilec (angl. Supplicant) je naprava, ki zahteva dostop do omrežnih storitev preko
overitelja (logična LAN vrata).
Overitveni strežnik je strežnik, ki overja poverilnice odjemalca, ki jih posreduje overitelj
(stikalo) in nato odgovori nazaj, ali ima prosilec pooblastilo za dostop ali ne. V našem
primeru je bila to ločena enota s protokolom RADIUS.
Nadzorovana ali nenadzorovana pot oz. vrata
Na vsakih nadzorovanih vratih omogoča overitelj prenos podatkov med odjemalcem in
LAN omrežjem le, če je prosilec pooblaščen za dostop v LAN omrežje. Overitelj je samo
7
posrednik v komunikaciji med odjemalcem in strežnikom RADIUS, saj protokol EAP
sporočila samo posreduje 1.
Slika 4: Primer uporabe protokola IEEE 802.1x v omrežju.
2.1 Prednosti in slabosti protokola IEEE 802.1x.
Prednosti protokola so zaščita omrežja pred zunanjimi napadi (fizično dodajanje
računalnikov), zaščita omrežja pred tujimi oz. nedovoljenimi uporabniki (hekerji), kontrola
na končnih stikalih (vrata stikala lahko uporablja samo tista naprava, ki je bila priključena
ob zagonu stikala) in da deluje na drugem omrežnem nivoju (podatkovni promet dovoljen
samo v primeru uspešnega overjanja).
Slabost oz. ranljivost protokola pa nastane ob vzpostavitvi povezave. Če ima napadalec
fizični dostop do omrežja, lahko izključi overitveni strežnik usmerjevalnika in priključi svoj
računalnik ter overitveni računalnik v zvezdišče (hub), ki ga potem priključi nazaj na
usmerjevalnik in si s tem omogoči napad.
Pojavile so se številne ranljivosti, ko je bil protokol prilagojen za brezžične povezave, saj
je bil prvotno namenjen za overitev naprav v ožičenem omrežju. Za varnost v ožičenem
omrežju smo poskrbeli tako, da smo usmerjevalnike in strežnike postavili in zaklenili v
podatkovni center ali v telekomunikacijske omare. V brezžičnem omrežju pa to ne pride v
8
poštev, ker dostopne točke pokrivajo celoten prostor in se lahko uporabnik poveže
kjerkoli. To pomeni, da imajo napadalci lažji dostop do omrežja.
Danes sta protokola IEEE 802.1x in EAP standard, ki omogoča varnejšo komunikacijo, saj
zahtevata napredno enkripcijo in indentifikacijo prosilca [1].
Dva pogosta primera napada sta naslednja.
1. Napad s prestrezanjem (MITM1)
Ta napad je znan tudi kot napad »zajemalne brigade« (angl. bucket brigade attack), to je
oblika aktivnega prisluškovanja, v katerem napadalec ustvari neodvisno povezavo z
žrtvijo. Ti napadi lahko uspejo le, če se napadalec izdaja oz. daje vtis vsake končne točke
v skladu z zahtevami drugih prosilcev. Večina kriptografskih protokolov vključuje obliko
preverjanja pristnosti končnih točk, s katerim preprečijo napad MITM.
2. Prestrezanje v brskalniku (MITB2)
MITB je oblika grožnje internetne povezave z MITM. To je posredovalni t. i. proxy trojanski
konj, ki okuži spletni brskalnik in te ranljivosti izkoristi (spremeni transakcijsko vsebino ali
vstavi dodatne transakcije, ki so prikrite za uporabnika). Trojanski konji se lahko odkrijejo
in odstranijo s pomočjo protivirusne programske opreme.
2.2 Pregled funkcionalnosti protokola
Ker temelji protokol IEEE 802.1x na vratih stikala, dovoljuje oz. onemogoča prosilcem
dostop do omrežja. Ta protokol zagotavlja omrežno overjanje, s katerim lahko zagotovimo
zelo dobro varnost pred vsiljivci.
Kot smo že v prejšnjem poglavju omenili, omogoča protokol IEEE 802.1x nadzor
uporabnikov in naprav. Na stikalih lahko onemogočimo vrata, če pride do kršitve (to
pomeni, da računalnik ni skladen z varnostno politiko ali če pride do fizične zamenjave
naprav). Pri uporabi strežnika Windows 2008r2 pa lahko omogočimo ali onemogočimo
vzpostavitev povezave z uporabniškim imenom in geslom. Tako zagotavljamo dobro
varnost pred vsiljivci.
1 angl. Man in the Middle Attack 2 angl. Man in the Browser
9
2.3 Vzpostavitev seje AAA
Seja AAA predstavlja kratico za overjanje (angl. Authentication), avtorizacijo (angl.
Authorization) in beleženje (angl. Accounting). To je pristop, s katerim se določa, kateri
uporabniki se lahko povežejo na katero storitev, hkrati pa se beleži njihove aktivnosti 1.
Slika 5 prikazuje potek vzpostavitev seje med računalnikom (prosilcem) in strežnikom
RADIUS. Najprej pošlje prosilec zahtevek za dostop, strežnik ga sprejme/zavrne ter
sporočilo o tem vrne nazaj prosilcu. S tem sta povezana in seznanjena drug z drugim ali
pa se povezava zavrne. Nato se pošlje zahteva za beleženje in potrditev le-tega. Po
končani seji se pošlje zahteva za ustavitev beleženja, s čimer se seja tudi konča.
Slika 5:Vzpostavitev seje AAA.
2.3.1 Overjanje
Overjanje se nanaša na postopek, kjer je osebna oz. identiteta prosilca potrjena s
posebno digitalno identiteto. Identifikatorji so imena in gesla ali ustrezne poverilnice
(gesla, digitalni certifikati, telefonske številke, biometrični žetoni itn. …). Overjanje je
sistem oz. storitev, ki preverja, ali digitalna identiteta obstaja oz. ali so poverilnice veljavne
5.
2.3.2 Dovoljenje
Dovoljenje določa, ali so prosilci pooblaščeni za izvajanje določene aktivnosti, ki jo
običajno podedujejo od preverjanja identitete ob prijavi v program ali storitev. Dovoljenje
10
se lahko določi na podlagi različnih omejitev (trajanje in termin dostopa, fizična lokacija,
dostop več prosilcev iz istega vhoda na stikalu itn. ... ) 5.
2.3.3 Beleženje
Beleženje zagotavlja zapis uporabe virov s strani prosilca. Beležijo se dogodki, kot so
preverjanje pristnosti, dovoljenja, neuspešni dostopi itn. 5.
2.4 Protokoli EAP, EAPoL, RADIUS, PEAP
V sklopu protokola IEEE 802.1x in EAP se morajo končne točke in uporabniki overiti s
strežnikom RADIUS z uporabo zaščitene in zanesljive metode EAP. Metoda EAP določa
tip poverilnice ter kako se ta poverilnica predloži in uporabi. Obstaja veliko vrst metod
EAP, kot so: EAP-TLS, PEAP-MSCHAPv2, PEAP-MD5, EAPoL …
2.4.1 Protokol EAP
EAP (angl. Extensible Authentication Protocol) je razširljiv overitveni protokol, opisan v
dokumentu RFC (angl. Request for comments) z oznako RFC 2284. Namenjen je bil
overjanju v protokolu PPP (angl. Point to Point Protocol – protokol med točkama). Zaradi
velike potrebe po overjanju naprav in uporabnikov je bil protokol EAP izbran za overitveni
mehanizem protokola IEEE 802.1x. Ta protokol ni omejen zgolj na metode overjanja,
ampak se lahko prilagodi drugim potrebam.
2.4.1.1 Struktura EAP
Overiteljevo sporočilo je sestavljeno iz naslednjih polj:
kode (zahteva, odgovor, izmenjava, odobritev, odpoved),
identifikatorja (namenjen razčlenjevanju odgovorov posameznih zahtev),
dolžine in
podatkov (formati podatkovnega polja).
0 8 16 32
Koda Identifikator Dolžina
Podatki
Tabela 1: format sporočila EAP
11
EAP je niz sestavnih delov, ki zagotavljajo arhitekturno podporo za katero koli vrsto EAP v
obliki vtičnikov (plug-in module). Za uspešno preverjanje pristnosti morata imeti prosilec in
overitelj preko oddaljenega dostopa nameščen isti EAP modul za overjanje. Windows
strežnik 2008r2 ponuja dva modula, EAP-MD5-Challenge in EAP-TLS. EAP z avtomatsko
overitvijo potrdi povezavo za oddaljeni dostop, prav tako se enaka shema za overitev
uporablja za oddaljen dostop odjemalca in overitelja. EAP omogoča mehanizem za
poljubno preverjanje pristnosti med odjemalcem z oddaljenim dostopom in overiteljem.
Pogovor je sestavljen iz overiteljevih zahtev za preverjanje informacij in odzivov s strani
odjemalca 1.
Windows strežnik 2008r2 vključuje strukturo dveh vrst EAP in možnost, da prenese
sporočila EAP do strežnika RADIUS. EAP-RADIUS se uporablja za preverjanje
overiteljevih storitev. Prednost uporabe protokola EAP-RADIUS je ta, da protokola EAP ni
potrebno namestiti na vsak strežnik, ampak le na strežnik RADIUS. Protokol EAP-
RADIUS posreduje samo sporočila EAP.
2.4.2 EAP-TLS
EAP-TLS je pristop, ki uporablja metodo overjanja z digitalnimi certifikati in je pri IETF
opredeljen kot standard RFC 5216. Protokol uporablja digitalne in uporabniške certifikate,
shranjene v registru računalnika. Če uporabljamo pametne kartice za overjanje
oddaljenega dostopa, moramo uporabiti EAP-TLS preverjanje pristnosti. EAP-TLS izvaja
izmenjavo sporočil in zagotavlja medsebojno preverjanje pristnosti, opravlja pogajanja za
metode šifriranja in šifrirne ključe za oddaljene dostope in overitelja. Zagotavlja boljšo
overjanje in določanje ključev v primerjavi z ostalimi metodami.
EAP-TLS je podprt le na strežnikih, ki izvajajo usmerjanje in oddaljene dostope z uporabo
protokola RADIUS ter so člani domene. Strežnik za oddaljeni dostop deluje kot
samostojen strežnik ali član delovne skupine, ki ne podpira EAP-TLS.
Prednosti :
overjanje naprav in uporabnikov poteka avtomatično,
izognemo se uporabi uporabniških gesel,
odpornost na napade aktivnega imenika (AD-ja), saj temelji na kriptografiji javnega
ključa.
12
Slika 6: EAP-TLS (vir: IEEE 802.1x Cisco Implementaiton Guide).
Ko se strežnik in prosilec poenotita za izvedbo overitve z EAP-TLS, pošlje strežnik
certifikat do prosilca. Nato prosilec preveri certifikat strežnika. Ko je identiteta strežnika
potrjena, prosilec predloži svoje potrdilo strežniku. Strežnik preveri prosilcev certifikat in
tako se konča postopek medsebojne overitve (slika 6) 1.
2.4.3 PEAP – MSCHAPv2
PEAP so razvila podjetja Cisco, Microsoft in RSA. PEAP je različica EAP, ki temelji na
pozivanju, tako da se vnaprej ustvari varnostni kanal, ki zagotavlja šifriranje in celovitost
podatkov med odjemalcem ter overitvenim strežnikom RADIUS. Ta kanal se vzpostavi na
predhodnem overjanju strežnika s strani odjemalca. V okviru tega varnostnega kanala se
izvedejo EAP pogajanja za overitev odjemalca.
Ker zahteva PEAP samo overjen certifikat strežnika, LAN odjemalci ne potrebujejo
svojega certifikata. Ta funkcija močno zmanjša breme z namestitvijo in vzdrževanjem
infrastrukture javnih ključev PKI (angl. Public Key Infrastructure).
MSCHAPv2 temelji na podlagi uporabniških imen in gesel, medsebojnih overitvah in
pozivih oz. odzivih. Čeprav zagotavlja boljšo zaščito, je še vedno dovzeten za neaktivne
napade z uporabo slovarja. S kombinacijo MSCHAPv2 in PEAP je izmenjava zaščitena z
13
varnostjo kanala TLS. PEAP- MSCHAPv2 se uporablja predvsem v okoljih Microsoft
Active Directory.
Slika 7: PEAP-MSCHAPv2.3
S poenotenjem strežnika ter prosilca za uporabo overitve PEAP-MSCHAPv2 strežnik
pošlje certifikat prosilcu. Prosilec nato preveri strežnikov certifikat. Ko je identiteta
strežnika potrjena, prosilec ustvari šifriran kanal TLS. Po tem kanalu prosilec pošlje
uporabniško ime in geslo z uporabo MSCHAPv2. Strežnik preveri še geslo, s čimer
zaključita medsebojno overjanje (slika 7) 1.
2.4.3.1 Šifrirni ključi
Poznamo ključe, ki so javni in zasebni. To so kriptografski mehanizmi, s katerimi šifriramo
in dešifriramo podatke. Vsak ključ ima en par podključev, ki so sestavljeni iz dveh
edinstvenih matematično povezanih šifrirnih ključev. Če so podatki šifrirani z javnim
ključem, se lahko dešifrirajo le s pripadajočim zasebnim ključem in obratno.
Javni ključi so narejeni za vse prosilce preko javno dostopnega registra ali imenika,
zasebni ključi pa morajo biti znani samo lastniku.
Primer
Če želi oseba A poslati občutljive podatke samo osebi B, bo oseba A zašifrirala podatke z
javnim ključem osebe B. Ker ima samo oseba B dostop do svojega ustreznega
3 (vir: IEEE 802.1x Cisco Implementaiton Guide)
14
zasebnega ključa, lahko zdaj samo oseba B dešifrira šifrirane podatke nazaj v prvotno
obliko [9].
2.4.3.2 Podpisovanje s ključi
Največjo varnost zagotavljajo pametne kartice, saj je zasebni ključ shranjen na kartici in
tako tudi šifriranje ter poteka digitalno podpisovanje na sami kartici. Varnost elektronskega
podpisovanja temelji na dolžini javnih in zasebnih ključev.
Z overjenim javnim ključem imetnik dokazuje lastništvo ključa. Overitelji oz. certifikatne
agencije (CA) so tiste, ki lastniku izdajo digitalno potrdilo.
Digitalni podpis
Je datoteka, šifrirana z zasebnim ključem. Dešifrira jo lahko vsak, ki pozna podpisnikov
javni ključ. Ta podpis je narejen z uporabo kriptografije. Digitalni podpis mora zagotavljati
avtentičnost ter onemogočati ponarejanje, kopiranje in spreminjanje.
Postopek podpisovanja
Postopek podpisovanja je prikazan na sliki 8. Najprej izbran dokument podpiše pošiljatelj,
ki uporabi svoj zasebni ključ, kateremu pripada tudi njegovo digitalno potrdilo. Nato se
dokument s podpisom pošlje prejemniku. Po prejemu dokumenta prejemnik loči podatke
od elektronskega podpisa. Na koncu se preveri, ali se ujemajo izvlečki in ali je elektronski
podpis veljaven. [11]
Slika 8: Postopek podpisovanja.
15
2.4.4 PEAP-MD5-Challenge
Protokol PEAP-MD5-Challenge (pozivanje z MD54) je opisan v dokumentu RFC 1321 in
omogoča strežniku RADIUS preverjanje pristnosti za omrežno povezavo, tako da preverja
MD5 gesla uporabnika. MD5 je algoritem oz. šifrirna funkcija s 128-bitnim izhodom.
PEAP-MD5 je torej metoda overjanja, ki temelji na geslih. Strežnik pošlje stranki naključne
vrednosti in stranka dokaže svojo identiteto z MD5 šifro. EAP-MD5-Challenge se pogosto
uporablja v zaupanja vrednih omrežjih, kjer je zelo majhna verjetnost aktivnih napadov.
Zaradi velike ranljivosti se običajno ne uporablja na javnih brezžičnih omrežjih, tam se
uporablja metoda overjanja PEAP–MSCHAPv2.
2.4.5 Protokol EAPoL
EAP preko lokalnega omrežja (EAPoL), ki je opredeljen v protokolu IEEE 802.1x, ponuja
učinkovit način za overitev in nadzor prometa uporabnikov v zaščitenem omrežju, kot tudi
dinamično spreminjanje šifrirnih ključev. Ta protokol je standard za prenos preko žičnega
ali brezžičnega omrežja LAN 1.
2.4.6 Protokol RADIUS
To je varnostni internetni protokol, ki omogoča AAA (poglavje 2.3) za upravljanje prosilcev
pri priključitvi v omrežje. Razvili so ga v podjetju Livingstone Enterprises leta 1991 kot
dostopovni strežnik za protokol overjanja in beleženja. Opisan je v RFC-ju z oznako 2865.
Zaradi široke podpore ga pogosto uporabljajo ponudniki internetnih storitev in podjetja,
tako za brezžična omrežja in integrirane e-poštne storitve kot za upravljanje dostopa do
omrežja. Ta omrežja lahko vključujejo modeme, xDSL (Digital Subscriber Line ),
dostopovne točke, VPN (Virtual Private Network), omrežna vrata, spletne strežnike itn.
RADIUS je protokol odjemalec/strežnik, ki teče v aplikacijskem sloju modela ISO (7. sloj)
in uporablja UDP. Strežnik RADIUS je proces v ozadju, ki teče na operacijskem sistemu
UNIX ali Microsoft Windows.
RADIUS podpira tri funkcije:
preverjanje pristnosti uporabnikov ali naprav (preden jim dodeli dostop do
omrežja),
odobritev uporabnika oz. naprave za uporabo določene omrežne storitve,
obračunavanje uporabe storitev.
4 angl. Message Digest 5
16
Protokol RADIUS omogoča overjanje, dodeljevanje dostopa in informacijo o konfiguraciji
med NAS (angl. Network Access Server) in overitvenim strežnikom RADIUS. Zahteve in
odzivi protokola RADIUS se imenujejo lastnosti 1.
2.4.6.1 Struktura paketa
Paket se pošilja po poljih, ki si sledijo (slika 9) od leve proti desni. Prvi ponudnik predstavi
kodo, nato sledi identifikator paketa, dolžina paketa, overitev in atribut polja.
Slika 9: Zgradba paketa RADIUS (vir: Wikipedia).
Oznaka polja pomaga pri usklajevanju zahtev in odgovorov, dolžina polja označuje
dolžino celotnega paketa RADIUS (vključno s kodo, identifikatorjem, dolžino, overjanjem
in atributom polja). Overjanje se uporablja za potrditev odgovora strežnika RADIUS in za
šifriranje gesel (njihova dolžina je 16 zlogov).
V strukturo paketa sodi tudi atribut polja (Slika 10), ki prenaša podatke v obe smeri. To so
zahteve in odgovori za overjanje, dovoljenje za overitev in obračunavanje transakcije.
Dolžina paketa se uporablja za določanje konca atributa polja. Atributi polj se uporabljajo
za overjanje. Sestavljeni so iz tipa, dolžine in vrednosti 8.
Slika 10: Format AV para (vir: Wikipedia).
Tabela 2 prikazuje najpogostejše RADIUS kode, tabela 3 pa najpogostejše tipe AV para
[10].
17
Koda Tip paketa Pošiljatelj
1 Zahteva za dostop (Access-Request) NAS
2 Potrjen dostop (Access-Accept) RADIUS
3 Zavrnitev dostopa (Access-Reject) RADIUS
4 Zahtevek za obračunavanje (Accounting-Request) NAS
5 Odgovor za obračunavanje (Accounting-Response) RADIUS
11 Poizkusi dostopiti (Access-Challenge) RADIUS
12 Status strežnika (Status-Server)
13 Status stranke (Status-Client)
255 Rezervirano
Tabela 2: Seznam pogostih RADIUS kod.
Tip AV Para Lastnosti
1 User Name (uporabniško ime)
2 User Password (geslo)
4 NAS IP Address (NAS naslov IP)
5 NAS Port (NAS vrata)
6 Service Type (tip storitve)
7 Framed Protocol (okvirjen protokol)
9 Framed IP Netmask (okvirjena IP omrežna maska)
10 Framed ID (okvirjena identifikacija)
12 Framed MTU (okvirjena največja enota za prenos)
18 Reply Message (odgovor na sporočilo)
24 State (stanje)
25 Class (razred)
26 Vendor Specific (specifikacija proizvajalca)
27 Session Timeout (časovna omejitev)
30 Called Station ID (Identiteta klicane postaje)
31 Calling Station ID (Identiteta klicoče postaje)
61 NAS Port Type (NAS tip vrat )
64 Tunnel Type (tip tunela)
65 Tunnel Medium Type (tip tunela medija)
79 EAP Message (EAP sporočilo)
80 Message Authenticator (sporočilo prosilca)
81 Tunnel Private Group (tunel za zasebne skupine)
87 NAS Port ID (identiteta vrat NAS)
102 EAP Key Name (ime ključa EAP)
Tabela 3: AV pari.
18
2.5 Dovolitvene opcije protokola IEEE 802.1x
EAP je okvir za preverjanje pristnosti, s katerim določamo tip overjanja.
Poznamo več vrst overjanj, in sicer EAP-MD5, LEAP, EAP-TLS, EAP-MSCHAPv2 ter
PEAP. Razlikujejo se po overjanju strežnika, ključih in varnosti. Overjanje EAP-MD5 je
brez overitvenega strežnika in zato svoje poverilnice šifrira. LEAP overjanje uporablja
uporabniško ime in geslo, ostalo overjanje pa uporablja javni ključ ali poverilnice.
19
3 DOBRA PRAKSA NAČRTOVANJA
3.1 Scenarij implementacije
Z uvedbo protokola IEEE 802.1x se lahko izberejo trije scenariji za postopno ureditev
protokola. Ti načini so: način spremljanja (angl. monitor mode), način nizkega vpliva (angl.
low-impact mode) in način visoke varnosti (angl. high-security mode). Vsak scenarij
opredeljuje kombinacije tehnik overitev in dovolilnic.
3.2 Overjanje uporabnikov in naprav
Protokol lahko overja končne točke, ki temeljijo na uporabi poverilnic uporabnika, naprave
ali obojega. Za končne točke, ki ne podpirajo nobene oblike uporabniške prijave
(tiskalniki), se mora poverilnica naprave (tiskalnika) overiti drugače. Te naprave overimo
tako, da jih lastnoročno dodamo v ustrezno skupino na strežniku. Izbira končnih točk, ki
podpirajo prijavo uporabnikov (PC), je lahko otežena, ker je verjetnost, da le-te
potrebujejo dostop do omrežja še preden se uporabnik prijavi. Če nimamo dostopa do
omrežja, kritične funkcije (DHCP, NFS in AD) ne bodo delovale pravilno. Z uporabo
strojnih poverilnic lahko omogočimo končnim točkam dostop do omrežja brez uporabniške
prijave 1.
3.3 Izbira prosilcev
Pri izbiri prosilcev je naš cilj, da se izberejo tisti prosilci, ki zagotavljajo potrebe po
zmogljivosti, zmanjšujejo obremenitve administratorskega dela. Prosilci, ki temeljijo na
strojni opremi, so pri ožičeni topologiji relativno novi. Ti prosilci lahko izvajajo protokol
IEEE 802.1x tudi, če operacijski sistem ni sposoben opraviti overjanja. To bi bilo koristno
za končne točke v stanju mirovanja ali v pripravljenosti, ko je potrebna povezava v
omrežje (wake-on-LAN) in za končne točke, ki uporabljajo metodo PXE (angl. Preboot
eXecution Environment) 1.
3.4 Izbira overitvenega strežnika
Veliko strežnikov RADIUS lahko deluje kot overitveni strežniki protokola IEEE 802.1x.
Najprej moramo izbrati strežnik, ki bo lahko potrdil vse končne točke. Nato se moramo
20
prepričati, ali strežnik RADIUS podpira politiko za omrežni dostop, ki ga želimo uporabiti,
ter ali je strežnik sposoben spremljati in poročati o napakah.
Naslednja generacija platforme, ki podpira vso navedeno varnostno politiko, je Cisco
Secure ACS 5 [1]. Pri Microsoftu je zmogljivost omejena in omogoča samo overjanje na
končnih točkah ter pri uporabnikih, ki so v domeni. Obstaja tudi nekaj odprtokodnih
strežnikov RADIUS za uporabo protokola IEEE 802.1x (FreeRADIUS in OpenRADIUS)
1.
3.5 Ponovna overitev
Če so končne točke še vedno priključene na omrežje, je velika verjetnost, da se ponovna
overitev ne potrebuje. Po uspešni overitvi vrata ostanejo odprta, dokler se zveza ne
prekine. V nekaterih situacijah se ponovna overitev lahko uporabi kot ohranjevalni
mehanizem 1.
3.6 Odprti dostop
Odprti dostop pomeni, da se lahko uporabnik brez preverjanja in nastavitev vključi v
omrežje. To je lahko zelo nevarno, saj lahko povzroči veliko škodo podjetjem z okuženim
računalnikom, saj lahko ogrozi vse pomembne podatke. Po privzetih nastavitvah je
protokol IEEE 802.1x nastavljen tako, da zavrže ves promet pred uspešno avtorizacijo. To
se označuje kot zaprt način. Nekatera stikala so lahko nastavljena tudi na odprti dostop,
kar omogoča ves pretok prometa in hkrati delovanje protokola 802.1x 1.
3.7 WoL in protokol IEEE 802.1X
WoL (Wake on LAN) je industrijski standard, s katerim lahko vključimo in izključimo
naprave preko omrežja. Večina končnih naprav s tehnologijo WoL v času stanja
pripravljenosti očisti vse obstoječe seje. Pri privzetih nastavitvah je promet blokiran skozi
neodobrena vrata v obeh smereh in tako paket za bujenje naprave ne pride do končne
točke 1.
Za uporabo te tehnologije potrebujemo WoL omrežni vmesnik, vključeno funkcijo WoL na
matični plošči in programsko opremo.
21
3.8 Končni prosilci z nepodprtim standardnim protokolom IEEE 802.1x
Če imamo prosilca, ki bi rad dostopal do omrežja in je priključen na končno točko z
nepodprtim standardnim protokolom IEEE 802.1x, se mora le-ta povezati na tista vrata,
kjer je omogočen protokol IEEE 802.1x, in po uspešni varnostni politiki lahko dostopa do
omrežja. Podjetja ponujajo funkcije za namestitev protokola na končne točke (MAB,
spletno overjanje in gostujoč VLAN). Ta lastnost zagotavlja pomožni mehanizem takrat,
ko ni odjemalca tega protokola. Ko je protokol na vratih, lahko vrata dobijo pooblaščeno
stanje, če MAB ali spletna overitev uspe ali če je gostujoči VLAN nastavljen. MAB, spletna
overitev in gostujoč VLAN so nadomestni mehanizmi. Uporabljeni so samo takrat, ko
poteče čas preverjanja overitve 1.
3.9 Končne točke z neustreznimi poverilnicami
Brez veljavnih poverilnic protokol ščiti omrežje tako, da onemogoči točke dostopa.
Obstajajo tudi okoliščine, v katerih zakoniti uporabniki nimajo veljavnih poverilnic in zato
tudi nimajo dostopa.
Na primer, nekdo se želi povezati v omrežje. Njegov računalnik je nastavljen na protokol
IEEE 802.1x, vendar poverilnice veljajo samo v njegovem domačem omrežju. Zato
avtorizacija ne uspe. Uporabniku se omogoči dostop samo kot gost. Zaradi tega obstajajo
alternativne rešitve, in sicer VLAN Auth-Fail ter uporaba načina preklopa v sekundarno
overjanje.
Funkcija Auth-Fail VLAN se uporabi takrat, ko overjanje ne uspe. Vrata se spremenijo v
nastavljiva VLAN vrata, kjer se lahko izvrši omejen dostop. Z uporabo tega lahko po meri
dostopamo do omrežja brez veljavnih poverilnic. To je možno nastaviti tako, da se
dovoljuje dostop le do interneta ali do CA za podaljšanje certifikata.
Druga možnost je uporaba preklopa v sekundarno overjanje. Stikala se lahko nastavijo na
poizkušanje MAB ali spretno overjanje, če protokol IEEE 802.1x ne uspe. Dostop do
omrežja se odobri na podlagi uspešnosti ali neuspešnosti sekundarne overitve 1.
3.10 Nedosegljiv overitveni strežnik
Ko je overitveni strežnik nedosegljiv, protokol IEEE 802.1x ni na voljo in zato končne
točke nimajo dostopa do omrežja, saj strežnik ne more preveriti njihovih poverilnic.
Obstajajo primeri, v katerih stikala ne morejo doseči strežnika in je prosilcem vseeno
potrebno omogočiti dostop do omrežja. Če stikalo ve, da je strežnik nedosegljiv, lahko
22
nastavi vrata kot nastavljiva VLAN vrata (takoj ko bo zveza vzpostavljena). Če stikalo
ugotovi, da overitveni strežnik ni bil uspešen s protokolom IEEE 802.1x, potem se vrata
premaknejo v kritični VLAN po določenem času izvajanja. Če se izteče čas ponovne
overitve, se s celim procesom počaka, dokler stikalo ne ugotovi, da je strežnik dosegljiv.
Kritični VLAN je katerikoli VLAN, razen govorni VLAN. Če VLAN ni naveden, se vrata ne
bodo odprla za podatkovni VLAN 1.
3.11 Časovniki in spremenljivke
Protokol IEEE 802.1x temelji na več časovnikih in spremenljivkah, ki nadzorujejo časovne
funkcije na stikalu za overjanje. Za ta protokol je priporočljivo, da se pustijo privzete
vrednosti. Poznamo :
dot1x timeout tx-period in dot1x max-teauth-req (spremeljivki) − nadzirata
obnašanje zakasnitev in ponovni poizkus dostopa do vrat v odsotnosti prosilca;
authentication timer restart (časovniki) − nadzirajo primer, ko pride do
ponovnega zagona protokola IEEE 802.1x;
dot1x timeout quiet-period (spremenljivka) − nadzira in ponovno zažene protokol
IEEE 802.1x po neuspelem overitvenem poizkusu;
dot1x timeout supp-timeout in dot1x max-req (spremenljivka) − nadzira
zakasnitev, ko se prosilec na sredini overitve preneha odzivati;
dot1x timeout server-timeout (spremenljivka) − vpliva na ponovno oddajanje
takrat, ko strežnik ni dosegljiv 1.
3.12 IP telefonija in protokol IEEE 802.1x
Cisco IP telefoni imajo vgrajen protokol IEEE 802.1x, vendar je ta onemogočen.
Nastavitve telefona se lahko uredijo ročno v ukazni vrstici (CLI). Standard protokola IEEE
802.1x ni bil načrtovan za zahteve IP telefonije, zato lahko nastopijo naslednje težave.
Predpostavljen omrežni dostop (angl. Assumption of Network Access)
Privzeti protokol IEEE 802.1x vsem omogočenim vratom zavrne dostop, dokler ni
uspešne overitve. IP telefoni pa pogojujejo takojšni dostop do omrežja.
Podpora dveh naprav na posamezna vrata (angl. Support for Two Devices Per
Port)
Programska oprema omogoča hkratni dostop naprave za IP telefonijo in
podatkovnega odjemalca (ki sta zvezana preko integriranega stikala v IP telefonu). Z
omogočanjem istih vrat dostopovnega stikala se omogoči povezljivost IP telefonu in
23
podatkovni napravi. Govorni promet IP telefona se na takih vratih označi z ustrezno
VLAN značko (angl. tag), promet podatkovnega odjemalca (PC) pa se ne označuje. S
tem zmanjšamo število priključnih kablov, opreme in stroške.
Nezmožnost zaznavanja statusa povezave (angl. Lack of Link State Awareness)
Ko je IP telefon priključen, stikalo nima informacije o stanju na vratih telefona. Protokol
omogoči vrata, ampak je odvisen od stanja povezave in začetka ter konca
overitvenega stanja naprave. Ta funkcionalnost je bistvenega pomena za
zagotavljanje veljavnosti overitvenih sej, saj s tem preprečujemo varnostne luknje in
kršitve.
Delovanje IP telefonov v protokolu IEEE 802.1x omrežju se lahko doseže tako da:
morajo biti telefoni nastavljivi in sposobni izvesti protokol IEEE 802.1x;
telefonom, ki nimajo omogočenega protokola IEEE 802.1x, je treba zagotoviti
drugačen dostop do govornega omrežja;
če pride do težav s povezljivostjo, mora biti IP telefon naslovljen, kam se sklicuje dalje;
mora protokol IEEE 802.1x nasloviti IP telefone s podatkovno napravo na istih vratih
2.
3.13 Varnostne funkcije na stikalih
Zaščita vrat (Port Security)
V splošnem se zaščita vrat, če že imamo omogočen protokol IEEE 802.1x, ne priporoča.
Ker podpira protokol en MAC naslov na vrata, je zaščita vrat predvsem odveč in lahko v
nekaterih primerih slabo vpliva na delovanje protokola.
DHCP prestrezanje (angl. DHCP snooping)
DHCP snooping je vrsta tehnike, ki se uporablja za zagotavljanje boljše varnosti v
obstoječi DHCP infrastrukturi in je popolnoma združljiva s protokolom IEEE 802.1x. To je
druga plast varnosti, saj boljšo varnost dosežemo tako, da imajo samo prosilci s
specifičnim IP oz. MAC naslovom dostop do omrežja.
Dinamično preverjanje ARP (Dynamic ARP Inspection)
Je vrsta varnostne funkcije, ki zavrača neveljavne in zlonamerne pakete ARP ter je
popolnoma združljiva s protokolom IEEE 802.1x.
24
Varovanje vira IP (IP Source Guard)
Je varnostna funkcija, ki omejuje promet IP v nevarovani OSI plasti 2 s filtriranjem
prometa, ki temelji na DHCP prestrezanju ali ročno nastavljivih izvornih IP in je popolnoma
združljiva s protokolom IEEE 802.1x 1.
3.14 Microsoft NAP
Microsoft NAP je vgrajena vloga v strežniku Windows 2008r2, ki omogoča nadzor dostopa
do prosilcev v omrežjih. Skrbniki omrežja lahko določijo varnostno politiko za vse prosilce.
S tem si zagotovimo varnost na omrežjih, da ne pride do kraje podatkov ali okužbe
omrežja.
Metode vsiljevanja NAP se nahajajo na strežnikih pod vlogo mrežna politika in
dostopovne storitve (Network Policy and Access Services).
Metode vsiljevanja NAP:
DHCP − prosilci dobijo ustrezen naslov IP, ki jim ga dodeli DHCP strežnik, glede
na varnostno politiko,
IPsec − prosilci morajo biti skladni z varnostno politiko, da dobijo poverilnice za
komunikacijo med napravami,
protokol IEEE 802.1x ožičeno ali brezžično − prosilci, ki dostopajo do omrežja,
preko protokola IEEE 802.1x overitve na stikalih, dobijo dostop do omrežja,
VPN − prosilci morajo biti skladni z varnostno politiko, da lahko dostopajo do
omrežja in
oddaljen dostop − prosilci morajo biti skladni z varnostno politiko, za dostop do
naprav.
Slika 11: NAP metode.
25
4 PRAKTIČNA IMPLEMENTACIJA
Praktično implementacijo diplomskega dela je omogočilo podjetje Stebri d.o.o. iz Slovenj
Gradca. Uporabljali smo strežnik Windows 2008r2, stikalo Cisco Catalys 2950, na
katerega lahko priključimo do 24 odjemalcev, usmerjevalnik Astaro Security Gateway 220
in kot prosilec prenosni računalnik HP, s katerim smo hkrati spremljali promet s
programsko opremo Wireshark (slika 12). Opremo smo dobili brez prednaložene
programske opreme in nastavitev, zato smo morali najprej namestiti ustrezne operacijske
sisteme ter nastaviti ustrezne parametre na stikalu ter usmerjevalniku. Na usmerjevalniku
smo morali nastaviti IP-naslov ter dostop do zunanjega omrežja, na stikalu pa naslov IP
ter oddaljen dostop. Na računalniku in strežniku smo nastavili osnovne nastavitve (IP-
naslov, namestili osnovne programe, preverili posodobitve). Nato smo začeli s
konfiguracijo strežnika Windows 2008r2 ter aktivacijo njegovih osnovnih funkcij (nastavili
DHCP, DNS, AD in NAP). Cilj tega dela je bilo spoznati se s strežnikom, nastavitvami
omrežja in postopkom, kako zagotoviti varnost omrežja za mala in velika podjetja.
Slika 12: Zasnova omrežja, uporabljenega pri praktični implementaciji.
Delovanje
a) Prosilec, ki bi se rad povezal v omrežje, posreduje informacijo do stikala, kjer se
izvede 802.1x overjanje.
b) Prosilec pošlje uporabniško ime ter geslo do strežnika.
c) Pri pravilnih podatkih se povezava vzpostavi, drugače se povezava prekine.
d) Strežnik zahteva varnostno politiko, ki mu jo pošlje računalnik. Rezultat preverjanja
pošlje stikalu in če je varnostna politika skladna, mu odobri dostop, sicer mu dodeli
omejen dostop.
Najprej smo izvedli NAP DHCP vsiljevanje, nato nadgradili sistem NAP 802.1x in končali s
sistemom 802.1x.
26
Izvedba strežnika z vsiljevanjem NAP DHCP
Potek
Strežnik najprej preveri, ali so računalniki, ki so prijavljeni v domeno, skladni z varnostno
politiko. S tem računalnik dobi od strežnika veljaven naslov IP, torej neomejen dostop do
omrežja. Neskladnim računalnikom strežnik dodeli omejen dostop. Lahko nastavimo tudi
avtomatsko posodobitev računalnikov.
Nastavitve strežnika
Najprej smo nastavili ime strežnika, ki se nahaja na začetnem zaslonu, nato naslov IP
strežnika ter vloge strežnika (slika 13), na primer aktivni imenik in domenski krmilnik (AD
DC), DNS, DHCP in NPS.
Slika 13: Nastavitev imena, vlog in naslova IP-strežnika.
Dodajanje uporabnika
V aktivnem imeniku se postavimo na podmapo Uporabniki (Users) in nato z desno tipko
miške kliknemo in izberemo Nov uporabnik (New user). Pojavi se okno za uporabnika, v
27
katerega vnesemo ime, priimek, polno ime ter uporabniško ime. V nadaljevanju dodamo
še geslo in skupine h katerim pripada (slika 14).
Slika 14: Dodajanje uporabnika.
Ustvarjanje nove skupine za računalnike
V ukazni pozivnik (Run), ki se nahaja v Start meniju, smo vnesli ukaz gpme.msc in ga
potrdili s tipko OK. Nato se je pojavilo novo okno Upravljalec Skupinske Politike (Group
Policy Management). Z desno tipko smo kliknili na dipl.com in izbrali novi objekt (New
Object). Pojavilo se je novo okno (Slika 15), v katerem smo izbrali drugo možnost, s
28
katero smo kreirali novi skupinski objekt. Izbrali smo NAP Client Computers. Vse kar se
bo urejevalo v tej politiki, se bo potem tudi na vseh računalnikih v domeni.
Slika 15: Konfiguracija skupinske politike.
Namestili smo NAP-vlogo in s pomočjo čarovnika za lažjo namestitev izbrali NAP
vsiljevanje z DHCP-jem (Slika 16).
29
Slika 16: Namestitev NAP DHCP-ja.
Posebnosti nastavitve
Kot Radius odjemalca (Client) smo nastavili Cisco stikalo (192.168.10.5) in dodelili skrito
geslo (secret).
Z vsiljevanjem skupinske politike smo morali omogočiti proces omrežnega agenta
(Network Access Agent) in proces nastavitev (Wired Config) ožičenega omrežja, kot
prikazuje slika 19.
Nastavitev NAP DHCP-ja je dodeljevanje naslovov IP, imena poddomen, prevzetega
prehoda (192.168.10.23) in dodelitev izbrane varnostne politik.
Slika 17 prikazuje naslednji korak v čarovniku, kateri je nastavitev stikala, s katerim
strežnik Windows 2008r2 komunicira. Nastavi se ime stikala, naslov IP in geslo.
Na sliki 18 je prikaz dodatne nastavitve na strežniku Windows 2008r2. In sicer lahko
nastavimo razpon naslovov IP in imena domen.
30
Slika 17: Nastavitev stikala kot Radius odjemalca na strežniku.
Slika 18: Nastavitev dodeljevanja naslovov IP in domen.
31
Slika 19: Upravljanje s politiko (v tem primeru aktiviranje agenta NAP).
Nastavitve računalnika
Najprej smo postavili računalnik v domeno (dipl.com) (slika 20) in omrežno kartico Internet
Protocol Version 4 (TCP/IPv4) nastavili na samodejno pridobitev naslovov IP in
samodejno pridobitev naslovov strežnika DNS (slika 21). V ukaznem pozivu smo preverili,
ali se skupinska politika uporablja, ali je NAP DHCP omogočen in ali smo dobili naslov IP
(slika 22). Ko je računalnik v domeni, lahko preko strežnika upravljamo z njim, saj lahko s
pomočjo skupinske politike na strežniku Windows 2008r2 omejujemo naprave in
uporabnike. Sledila je nastavitev in preizkus požarnega zidu z njegovo
aktivacijo/deaktivacijo. Storitve smo sicer omogočili (Network Access Agent in Wired
Config), vendar se le-te dajo nastaviti tudi v strežniku.
32
Slika 20: Postavitev računalnika v domeno.
Slika 21: Nastavitev samodejne pridobitve naslovov IP in DNS-ja.
Ko je računalnik član domene, lahko v ukaznem pozivu preverimo trenutno stanje
skupinske politike s ukazom gpresult, posodobimo skupinsko politiko z ukazom
gpupdate in preverimo, ali se je skupinska politika pravilno izvedla s ukazom netsh nap
client show state (slika 22).
33
Slika 22: Prikaz v ukaznem pozivu, da sta NAP DHCP vsiljevanje in GP aktivna.
Slika 23 prikazuje obvestilo na računalniku. Pojavi se okno, v kateri lahko vidimo status
NAP-a.
Slika 23: Delovanje NAP-a na računalniku.
Ko je prosilec skladen z varnostno politiko, se mu dodeli domena ime dipl.com in privzeti
prehod, v nasprotnem primeru se mu privzeti prehod odvzame. Dodeli se mu omejena
domena restricted.dipl.com (slika 24).
34
Slika 24: Prikaz delovanja domene.
Slika 25 prikazuje uspešno pogajanje med strežnikom RADIUS (192.168.10.11) in
prosilcem (192.168.10.5). Najprej se izvede protokol ARP (Address Resolution Protocol).
Protokol ARP vpraša vse naprave v omrežju, kdo je imetnik določenega naslova
(192.168.10.5) in kateri napravi se to sporoča (192.168.10.11). Ko strežnik pridobi
informacijo o prosilcu, aktivira RADIUS.
Programska oprema Wireshark
S programsko opremo Wireshark lahko zajamemo in analiziramo omrežni promet med
napravami. Z njim smo preverili delovanje protokola. Programsko opremo smo namestili
na drug računalnik, s čimer smo zajeli promet, prav tako smo morali ena vrata na stikalu
nastaviti kot zrcalna vrata. V poglavju 2.4.6.1. sta tabeli (2 in 3), ki opisujeta lastnosti
Radius kode in AV parov (slika 26).
Overitveni proces
35
Slika 25: Wireshark − Prikaz delovanja protokola RADIUS.
Podskupina protokola RADIUS so atributi polja. S tega primera lahko vidimo, katere tipe
uporabljajo (Slika 24 in 25). Zahteva za dostop (Access Request) ima AV-pare: 1, 6, 12,
30, 31, 79, 80, 102, 61, 5, 87, 4 in 24. 24 AV-par se pojavlja od druge do desete zahteve
za dostop, saj to pregleduje stanje komunikacije.
Dostopni izziv (Acces Challenge) ima AV-pare: 27, 79, 24 in 80. Dovoljen dostop (Access
Accept) ima AV-pare: 7, 6 ,65, 81, 64, 79, 25, 26 in 80.
36
Slika 26: Pregled AV-parov v programski opremi Wireshark.
Izvedba strežnika NAP s protokolom IEEE 802.1x
To je nadgradnja NAP protokola DHCP. Opisali bomo samo dodatne nastavitve, ki so ob
tem potrebne. Vsak računalnik, ki se priključi na stikalo, čaka overitev, ki se izvaja na
stikalu. Če je računalnik skladen s pravili, se mu dodeli dostop.
37
Nastavitev strežnika
Na strani strežnika smo pod vlogo NAP izbrali NAP IEEE 802.1x in sledili čarovniku (slika
27). Najprej smo morali izbrati ustrezno ime, nato obseg dodeljevanja naslovov IP, imena
poddomen (v katero poddomeno se odjemalec postavi, če je neskladen oz. skladen z
varnostno politiko) in prevzeti prehod (192.168.10.23). Sledila je namestitev nadzora
prometa za neomejene in omejen dostop.
Slika 27: Nastavitev vsiljevanja NAP IEEE 802.1x.
Slika 28 prikazuje, katere atribute RADIUS smo nastavili za pravilno delovanje protokola.
Zeleni okvir prikazuje nastavitve za neomejen dostop, rdeči pa za omejen dostop.
Slika 28: Nastavitev prometa za neomejen/omejen dostop.
Posebnosti nastavitve
Kot odjemalca Radius smo nastavili Cisco stikalo (192.168.10.5) in dodelili skrito geslo
(secret).
38
Nastavitve računalnika
Najprej smo postavili računalnik v domeno (dipl.com) in nastavili naslov IP na
192.168.10.22 /24 DG: 192.168.10.23. Sledila je verifikacija v ukaznem pozivu, in sicer ali
se skupinska politika uporablja in ali je NAP IEEE 802.1x omogočen. Računalnik smo
postavili v domeno (dipl.com), preko katere lahko upravljamo uporabnika ali uporabniški
računalnik s strani strežnika. Nato smo s pomočjo požarnega zidu preverili delovanje
skupinske politike. Ob izklopu požarnega zidu se je le-ta v nekaj sekundah povezal nazaj
(Slika 29). Omogočili smo storitve (Network Access Agent in Wired Config), vendar se to
lahko uredi tudi na strežniku.
Slika 29: Nastavitve požarnega zidu.
Nastavitve na stikalu
Na stikalo sem se povezal s konzolnim kablom, ki ima na strani stikala RJ45 priključek, na
strani računalnika pa RS232 priključek. S pomočjo programske opreme PuTTY smo lahko
dostopali do stikala. Najprej smo morali vnesti tovarniški naslov IP naprave (192.168.0.1),
da smo lahko dostopali do uporabniškega vmesnika, nato je sledila nastavitev novega
naslova, gesla in 802.1x overjanja, ki je opisano v nadaljevanju.
39
Slika 30: Programska oprema PuTTY.
Nastavitve na stikalu si sledijo po tem vrstnem redu:
- preklop iz lokalnega načina v globalni način
Switch>enable
- nastavitev terminala
Switch#configure terminal
- nastavitev Vlan 1
Switch(config)#interface Vlan 1
- dodelitev naslova ipVlanu 1
Switch(config-if)#ipaddress 192.168.10.5 255.255.255.0
- izhod iz lokalnega načina
Switch(config-if)#exit
- omogočanje nadgrajenega aaa modela
Switch(config)#aaa new-model
– ustvarjanje uporabnika
Switch(config)#username xxxx secret xxxx
– potrditev gesla
Switch(config)#enable secret xxxx
- ustvarjanje 802.1x liste
Switch(config)#aaa authentication dot1x defaul group radius
– določitev vrat (porta)
Switch(config)#interface fa0/24
40
– določitev načina delovanja vrat
Switch(config-if)#switchport mode access
- izhod iz lokalnega načina
Switch(config-if)#exit
- omogočanje 802.1x globalno na stikalu
Switch(config)#dot1x system-auth-control
– določitev gostitelja strežnika, overjanje vrat in ključ
Switch(config)#radius-server host 192.168.10.11 auth-port 1812 key secret
– določitev vrat
Switch(config)#interface fa0/24
- omogočanje 802.1x overjanja na vratih
Switch(config-if)#dot1x port-control auto
– izhod iz globalnega načina
Switch(config-if)#end
- preklop iz lokalnega načina v globalni način
Switch>enable
– shranimo vse ukaze v RAM pomnilnik stikala
Switch(config)#copy-running config startup-config Destination filename [startup-
config]?
Building configuration ...
[OK]
S tipko enter potrdimo ukaze.
41
Slika 31: Stikalo v vlogi overitelja.
Slika 31 prikazuje, kako stikalo loči nevarne računalnike od varnih. Če varnostna politika
ne ustreza zahtevani, ga prestavi v VLAN 2 oz. NEZDRAVI gost, če ustreza, pa ga
prestavi v VLAN 1 oz. privzeto (default). S tem smo pokazali delovanje vrat na stikalih,
kako dovoljuje oz. onemogoča prosilcem dostop do omrežja.
Vse se nastavlja na stikalu, razen NAP-a in uporabniškega imena ter gesla. Da vse to
deluje, moramo vnesti uporabniško ime in geslo (slika 32), s katerim nas stikalo
identificira, potem strežnik preveri varnost računalnika in dodeli VLAN.
42
Slika 32: Prikaz, kako omogočiti zahtevek za overitev.
Slika 33 Prikazuje komunikacijo pri NAP IEEE 802.1x, ki poteka enako kot v prejšnjem
primeru.
44
5 CISCO PACKET TRACER
To je programska oprema za simulacijo omrežja z napravami proizvajalca Cisco. Program
vsebuje simulacijo dejanskega omrežja, vizualizacijo, nastavitve želenih naprav, pregled
prometa in oceno želenega scenarija. V nadaljevanju smo ustvarili scenarij, ki je prikazan
na sliki 34. S tem smo prikazali dodatne možnosti overjanja naprav brezžično ali z
mobilnim aparatom ter potek nastavitev v navideznem omrežju, ki se lahko uporabijo v
realnem omrežju.
Slika 34: Prikaz scenarija.
Slika 34 prikazuje DHCP strežnik s sejo AAA, stikalo za priključitev naprav in brezžični
usmerjevalnik Linksys z protokolom RADIUS. Overitev je uspešna s pravim uporabniškim
imenom ter geslom. Naprava se lahko poveže.
45
5.1 Nastavitve strežnika
Najprej smo nastavili statični naslov IP (slika 35), samodejno dodeljevanje naslovov IP oz.
DHCP storitev (slika 36) in AAA storitev (slika 37). V AAA storitev smo morali vnesti
usmerjevalnik in uporabnike. Slika 35 prikazuje statični naslov IP-strežnika, ki smo ga
ročno vnesli. Najprej naslov IP, masko omrežja in privzeti prehod.
Slika 35: Omrežne nastavitve strežnika.
Za delovanje DHCP-ja smo morali omogočiti storitev z izbiro On (slika 36), določili ime
(serverPool), privzeti prehod (192.168.0.1), DNS (8.8.8.8), začetni naslov IP
(192.168.0.50), masko omrežja (255.255.255.0) in največje število uporabnikov. S
pritiskom na gumb Dodaj (Add) in nato Shrani (Save) smo dodali AAA model in ga
shranili.
46
Slika 36: Konfiguriranje DHCP.
Slika 37 predstavlja nastavitev AAA storitve. Tudi to storitev smo morali naprej omogočiti z
izbiro Vklop (On). Za Radius vrata smo izbrali 1645 (z njimi bo potekala komunikacija z
usmerjevalnikom), pod omrežne nastavitve smo dodali ime usmerjevalnika (Diploma),
naslov IP (192.168.0.52), geslo (C0k4n) ter izbrali tip strežnika (Radius). S klikom na
gumb + smo dodali še usmerjevalnik.
47
Sledile so nastavitve uporabnika, v našem primeru računalniki in telefonski aparat. Vstaviti
smo morali samo uporabniško ime ter geslo. S klikom na gumb + smo dodali uporabnike.
Slika 37: AAA storitev.
5.2 Nastavitve usmerjevalnika
Na usmerjevalniku smo nastavili samodejno dodeljevanje naslovov IP (DHCP), ki se
dodeli napravi v primeru, ko je skladna z varnostno politiko. Za to poskrbi seja AAA na
strežniku. To pomeni, da med strežnikom in usmerjevalnikom poteka protokol RADIUS.
Če je uporabnik vnesel pravo uporabniško ime in geslo, se dostop omogoči. Slika 38
prikazuje osnovne nastavitve usmerjevalnika: usmerjevalnikov naslov IP, masko omrežja,
omogočen strežnik DHCP za dodeljevanje naslovov IP, začetek številčenja naslovov IP in
maksimalno število uporabnikov.
Slika 39 pa prikazuje nastavitev brezžičnega omrežja Diploma.
50
Slika 40: Ustvarjanje komunikacije med strežnikom in usmerjevalnikom.
Slika 40 prikazuje nastavitev komunikacije med usmerjevalnikom in strežnikom. Najprej
smo morali izbrati tip overjanja (samo WPA Enterprise in WPA2 Enterprise omogočata
nastavitev protokola Radius), šifriranje (lahko izbiramo med AES in TKIP), naslov IP-
strežnika, Radius vrata in geslo.
5.3 Nastavitve stikala
S klikom na stikalo preidemo v fizični prikaz, kjer lahko dodajamo in spreminjamo module.
Postavimo se v zavihek CLI, v katerega smo vnesli ime stikala (StikaloDIPL), zaščito na
stikalu (password – diploma in secret – cokan), sporočilo administratorjem (banner motd)
in nato še izboljšali varnost. Za to smo uporabili ukaza switchport port-security maxium 1
in switchport port-security mac-address sticky. To pomeni, da so vrata na stikalu omejena
na 1 mac naslov, in da se mac naslov naprave shrani v stikalo. Tako ima samo ista
naprava omogočen dostop. Pri spremembi naprave moramo ponastaviti vrata na stikalu. Z
ukazom switchport port-security violation shutdown onemogočimo vrata, če pride do
kršitve.
Nastavitve na stikalu si sledijo po tem vrstnem redu:
- preklop iz lokalnega načina v globalni način
51
Switch>enable
- nastavitev terminala
Switch#configure terminal
- spreminjanje ime stikala
Switch(config)#hostname StikaloDIPL
- sporočilo administratorjem
StikaloDIPL(config)#banner motd Diplomska naloga ! (Enter)
Aljaz Cokan
E1010273
(končali s tipkama D in enter)
- vključitev gesla
StikaloDIPL(config)#enable password diploma
- vključitev gesla za vstop v privilegiran način
StikaloDIPL(config)#enable secret cokan
– določitev vrat
StikaloDIPL(config)#interface FastEthernet0/1
– mac naslov trenutne naprave se shrani v stikalo
StikaloDIPL(config-if)#switchport port-security mac-address sticky
- vrata se onemogočijo, če pride do spremembe mac naslova
StikaloDIPL(config-if)#switchport port-security violation restrict
– omejitev vrat na 1 mac naslov
StikaloDIPL(config-if)#switchport port-security maximum 1
- izhod iz lokalnega načina
Switch(config-if)#exit
- preklop iz lokalnega načina v globalni način
Switch>enable
– shranimo vse ukaze v RAM pomnilnik stikala
Switch(config)#copy-running config startup-config Destination filename [startup-
config]?
Building configuration ...
[OK]
S tipko enter potrdimo ukaze.
52
Slika 41: Nastavitve stikala.
Slika 41 prikazuje vmesnik nastavitve na stikalu. Osnovne nastavitve lahko nastavljamo
pod zavihkom Nastavitve (Config), ostale nastavitve pa pod zavihkom CLI. V praksi se
uporablja CLI zavihek, saj je tako omogočen lažji nadzor (slika 42).
53
Slika 42: CLI vmesnik za vnos nastavitev stikala.
Slika 43 prikazuje končni rezultat. Vrata stikala ne posredujejo naslova IP do računalnika
PC3, saj so vrata izključena. Če priključimo računalnik (PC3) v vključena vrata, zaradi
naslova MAC stikalo računalniku ne dodeli naslova IP.
54
Slika 43: PC3 ne dobi naslova IP.
5.4 Nastavitve računalnikov in telefona
Pri prenosnih računalnikih smo najprej vstavili brezžični modul pri izključenem
računalniku, nato smo izbrali brezžični modul (slika 44), ga vstavili v priključek ter vključili
računalnik.
Brezžično povezavo lahko nastavimo neposredno v nastavitvah modulov (slika 44). Pri
telefonu pa lahko nastavimo nastavitve samo v neposrednem načinu (slika 46), v katerem
smo najprej vključili modul (On), vnesli ime omrežja (Diploma), vrsto overitve (WPA2),
vpisali uporabniško ime (aljaz), geslo (cokan) ter tip šifriranja (TKIP). Priporočamo
vnašanje podatkov na namizju računalnika, saj gre za uporabniško prijaznejši vnos
podatkov.
55
Slika 44: Vnos brezžičnega modula. Slika 45: Nastavitev brezžične povezave na
prenosnem računalnikov.
Slika 46: Nastavitev brezžične povezave na pametnem telefonu.
S klikom na namizje smo izbrali brezžično kartico PC Wireless in jo odprli (slika 47). Izbrali
smo zavihek Povezljivost (Connected), ki nam je pokazal vsa aktivna brezžična omrežja
(slika 48). V primeru, da želimo vzpostaviti povezavo z omrežjem, pritisnemo tipko Poveži
(Connect). Ker nimamo ustvarjenega pravega profila, s pravim uporabniškim imenom ter
geslom, ne moremo vzpostaviti povezave (slika 49).
56
Slika 47: Osnovni meni. Slika 48: Vsa brezžična omrežja.
Slika 49: Če želimo vzpostaviti povezavo, nas vmesnik opozori, da moramo najprej
ustvariti profil.
Postavili smo se pod zavihek Profili (Profiles), kjer smo z gumbom Nov (New) ustvarili nov
profil (slika 50) in izbrali želeno omrežje (slika 51). Nato smo izbrali gumb Napredne
nastavitve (Advanced Setup). Če se želimo povezati z brezžičnim usmerjevalnikom ali
57
dostopovno točko, izberemo Infrastrukturni način (Infrastructure mode). Če se želimo
povezati neposredno na katero brezžično napravo, uporabimo Ad-Hoc način (Ad-Hoc
mode).
Slika 50: Ustvarjanje uporabnika. Slika 51: Izbira omrežja.
Slika 52: Izbira brezžične povezave Slika 53: Nastavitve omrežja.
(na usmerjevalnik, dostopovno točko ali na brezžično napravo).
Na sliki 52 vidimo avtomatičen izbor naslova IP (DHCP), saj je nastavljeno avtomatično
dodeljevanje IP naslovov na usmerjevalniku. Če te izbire ne bi imeli, bi morali določiti
naslov IP statično. Naslednja izbira je bila izbira overitve, ki smo jo nastavili na
usmerjevalniku. V našem primeru WPA2 Enterprise (slika 54).
58
Slika 54: Izbira overitve.
Nato smo pregledali vse nastavitve in z gumbom Shrani (Save) potrdili ustvarjen profil, kar
prikazujeta sliki 55 in 56. Čez čas so se povezale vse naprave, kot prikazuje slika 57.
Slika 55: Pregled nastavitev. Slika 56: Pregled profila.
60
6 SKLEP
Skozi diplomsko delo smo temeljito spoznali protokol IEEE 802.1x, ki omogoča omrežno
varnost na osnovi skladnosti varnostne politike. Z uvedbo protokola lahko vzpostavimo
zaščito v omrežjih. S pravilno izbiro naprav za zaščito (strežnik, stikalo, usmerjevalnik) in
nastavitev le-teh lahko zmanjšamo nevarnosti v infrastrukturi ter zagotovimo varnost na
končnih napravah oziroma pri uporabnikih.
Zastavljene cilje naloge smo dosegli. Z delom smo začeli pri fizični postavitvi omrežja, s
spoznavanjem omrežne opreme in njeno uporabo. Strežniku smo kreirali bazo
uporabnikov in naprav, s katerimi smo lahko upravljali, dodeljevali DHCP in DNS ter
skrbeli za varnostno politiko.
Stikalo omogoča priključitev več naprav na omrežje ter nato na usmerjevalnik, ki je most
do zunanjega omrežja oz. WAN-a. Za urejeno in nadzorovano infrastrukturno omrežje se
uporabljajo navidezna omrežja, pri katerih moramo biti previdni pri konfiguraciji.
S protokolom IEEE 802.1x smo spoznali njegovo delovanje oz. uporabo ter notranje
mehanizme. To je protokol druge OSI plasti, ki določa nadzorovan dostop do omrežja, ki
je zasnovan na ravni vrat na stikalu oz. usmerjevalniku. Notranji mehanizmi so protokoli,
ki se uporabljajo za komunikacijo med napravami. Protokol EAP je namenjen overjanju od
točke do točke, EAP-TLS je namenjen overjanju z digitalnimi certifikati, protokol PEAP –
MSCHAPv2 pa je namenjen overjanju certifikatov s strani strežnika. To pomeni, da nam
strežnik dodeli certifikat. RADIUS uporablja model AAA za upravljanje prosilcev pri
priključitvi v omrežje. Osnovni princip je zelo preprost, saj gre samo za stikalo, ki glede na
naslov MAC dodeli dostop oz. postavi napravo v določeno navidezno omrežje. Zaščita na
stikalih je zelo pomembna, zaradi zaščite fizičnega dostopa v omrežje.
Dobra osnova in vsestranska uporabnost protokola IEEE 802.1x sta pomembni za
zanesljivo delovanje. Za nadgrajevanje se uporabljajo strežniki, s katerimi ustvarimo
varnostno politiko in skupinsko politiko glede na uporabnika oz. napravo, z usmerjevalniki
pa lahko nastavimo dostop do omrežja WAN-a in požarni zid. Vse naprave, ki skrbijo za
omrežje, je priporočljivo podvojiti in dodati pomožne napajalne vire. Če pride do okvare
naprave, druga naprava samodejno prevzame vlogo okvarjene naprave. Pri izpadu
električne energije pa se vključijo pomožni generatorji ali baterije, s pomočjo katerih
delujejo naprave do ponovne vzpostavitve električnega omrežja.
Pri fizičnem vdoru v omrežje napadalec nima dostopa, pod pogojem, da je overitev
pravilno nastavljena. Pri strežnikih lahko poleg varnostne politike nastavljamo še
61
skupinsko politiko in s tem dodatno omejimo uporabnika oz. napravo. Tako lahko
dosežemo zelo dobro zaščito omrežja v podjetju.
Če povzamemo, je protokol IEEE 802.1x zelo priporočljiva rešitev za podjetja, ki se tudi
pogosto uporablja, saj je tako omrežje dobro zaščiteno pred potencialnimi vdori
nepovabljenih uporabnikov in se s tem tveganje zmanjša.
62
7 VIRI
1 CISCO. Identfy – based Networking Services: IEEE 802.1X Deployment Guide. 2010.
2 CISCO. IP telephony for 802.1x design guide. Dostopno na:
http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Security/TrustSec_1-
99/IP_Tele/IP_Telephony_DIG.html [15. 4. 2014].
[3] Jurič Gregor. Standardi v lokalnih brezžičnih omrežjih in zaščita v praksi. Maribor:
Fakulteta za varnostne vede, 2013
4 Kurose James F. Ross, Keith W. Compiled from Computer networking. England:
Harlow, 2014
Stergar,J. Uvod v usmerjanje. Dostopno na: http://www.s-
sers.mb.edus.si/gradiva/rac/moduli/upravljanje_ik/60_rip/10_datoteka.html [27. 4. 2014].
5 Wikipedia: AAA protocol. Dostopno na: http://en.wikipedia.org/wiki/AAA_protocol
13. 3. 2013.
6 Wikipedia: Extensible Authentication Protocol. Dostopno na:
http://en.wikipedia.org/wiki/Extensible_Authentication_Protocol 13. 3. 2013.
7 Wikipedia: IEE 802.1X.. Dostopno na: http://en.wikipedia.org/wiki/IEEE_802.1X 13. 3.
2013.
8 Wikipedia: Radius. Dostopno na: http://en.wikipedia.org/wiki/RADIUS 13. 3. 2013.
[9] Šifriranje Ključev. Dostopno na: https://www.comodo.com [10. 12. 2014].
[10] CISCO. AV pari. Dostopno na:
http://www.cisco.com/en/US/products/sw/secursw/ps2086/products_user_guide_chapter0
9186a008007e364.html [25. 1. 2015]
[11] Čulk Jelka. Elektronsko poslovanje. Ljubljana: fakulteta za upravo, 2003.
63
8 PRILOGE
8.1 Naslov študenta
Ime in priimek: Aljaž Cokan
Naslov: Šmarška cesta 20
Pošta: 3320 Velenje
Tel.študenta: 040 502 695
e-mail študenta: [email protected]